3CX : une attaque sur la chaîne logistique du logiciel qui en cachait une autre

CrowdStrike avait alerté, ce 29 mars 2023, de la distribution, par 3CX, d’une version de son softphone macOS et Windows compromise, infectée à son insu par un tiers malveillant. Cette version commence à communiquer, sept jours après son installation, avec une infrastructure de commande et de contrôle, mise en place à l’automne 2022 – sinon plus tôt encore. 

Quelques jours plus tard, les équipes de Kaspersky annonçaient la découverte d’un implant additionnel déposé chez les victimes de la campagne sur la chaîne logistique du logiciel 3CX : une porte dérobée utilisée depuis trois ans contre des entreprises spécialisées dans les cryptodevises. De quoi renforcer les soupçons contre le groupe Lazarus.

Tout récemment, c’est au tour des équipes d’Eset d’enfoncer le clou, avec la découverte d’un maliciel Linux utilisé dans une campagne d’ingénierie sociale menée par Lazarus et baptisée Operation DreamJob. Celle-ci n’est pas nouvelle : elle a été documentée par ClearSky fin août 2020. 

Eset y voit des recouvrements avec une campagne d’espionnage en cours depuis au moins septembre 2019, Operation In(ter)ception. À l’été 2022, deux échantillons de maliciel taillés pour macOS et liés à cette campagne ont été découverts. Le 20 mars 2023, c’était au tour d’un échantillon conçu pour Linux. À la clé, une porte dérobée appelée SimplexTea. 

Et celle-ci présente d’importantes similarités avec une autre, sysnetd, laissant penser les chercheurs d’Eset que SimplexTea n’en serait qu’une version mise à jour, réécrite de C en C++. Et Eset attribue justement sysnetd à Lazarus, encore une fois en raison de fortes similarités avec une porte dérobée Windows du groupe, appelée BadCall. 

Cerise sur le gâteau : SimplexTea utilise, pour son infrastructure de commande et de contrôle (C2), un nom de domaine repéré par Mandiant dans le cadre de l’enquête menée pour 3CX : journalide[.]org. Mais il y a plus. 

Lors de leur enquête, les équipes de Mandiant ont en fait découvert que l’attaque sur la chaîne logistique du logiciel ayant touché 3CX et ses clients en cache… une seconde. 

Le vecteur d’intrusion initial utilisé contre 3CX est en fait un installateur modifié du logiciel X_Trader, de l’éditeur Trading Technologies, et téléchargé par un employé de 3CX en 2022 : « Mandiant a déterminé qu’un processus de chargement complexe a conduit au déploiement de VEILEDSIGNAL, une porte dérobée modulaire multi-étapes, ainsi que de ses modules ». 

Qui plus est, « Les applications X_TRADER et 3CXDesktopApp compromises contiennent – toutes deux –, extraient et exécutent une charge utile de la même manière, bien que la charge utile finale soit différente ».

Mandiant attribue cette opération à une entité désignée par UNC4736. Entité à laquelle la filiale de Google attribue elle aussi le nom de domaine journalide[.]org. Mandiant estime que le site Web de Trading Technologies est compromis depuis le début 2022. Mais la compromission initiale, chez cet éditeur, remonterait à 2021. 

UNC4736 pourrait être lié à l’acteur motivé financièrement appelé AppleJeus par l’agence américaine de la cybersécurité et la sécurité des infrastructures, la Cisa.